Bybit披露针对macOS开发者的高级恶意软件活动
全球交易量第二大的加密货币交易所Bybit的安全运营中心披露了一份报告,详细说明了一场针对macOS用户的复杂多阶段恶意软件活动。该活动以开发者搜索人工智能开发工具"Claude Code"为切入点进行攻击。
这是中心化加密货币交易所首次公开披露通过AI工具发现渠道针对开发者的活跃威胁活动,凸显了该领域在前线网络安全情报中日益重要的作用。
该活动最早于2026年3月被发现,攻击者利用搜索引擎优化投毒技术,将一个恶意域名提升至谷歌搜索结果顶部。用户会被重定向至一个高度仿冒合法文档的安装页面,从而触发一个两阶段攻击链,其重点在于窃取凭证、锁定加密资产并获取系统持久访问权限。
攻击链分析
初始载荷通过一个Mach-O释放器投放,部署了一个基于osascript的信息窃取程序,其特性与已知的AMOS和Banshee变种相似。它执行多阶段混淆流程以提取敏感数据,包括浏览器凭证、macOS钥匙串条目、Telegram会话、VPN配置文件以及加密货币钱包信息。研究人员发现其针对超过250个基于浏览器的钱包扩展插件及多个桌面钱包应用程序进行了访问尝试。
第二阶段载荷引入了一个基于C++的后门程序,具备高级规避能力,包括沙箱检测和加密运行时配置。该恶意软件通过系统级代理建立持久化,并支持基于HTTP轮询的远程命令执行,使得攻击者能够持续控制受感染设备。
AI辅助的安全响应
在整个恶意软件分析生命周期中,安全运营中心运用了AI辅助工作流,在保持分析深度的同时显著加快了响应速度。对Mach-O样本的初步分类在几分钟内完成,AI模型标记出了其与已知恶意软件家族的行为相似性。
AI辅助的逆向工程与控制流分析将第二阶段后门的深度检查时间从预估的6至8小时缩短至40分钟以内。同时,自动化提取管道识别出包括命令与控制基础设施、文件签名和行为模式在内的危害指标,并将其映射到已有的威胁框架中。
这些能力使得检测措施得以在当天部署。AI辅助的规则生成支持创建威胁特征和端点检测规则,分析师在将其投入生产环境前进行了验证。AI生成的报告草案进一步缩短了周转时间,使威胁情报输出的完成速度比传统工作流程提高了约70%。
行业影响与趋势
此次调查还揭示了社会工程学手段,包括用于验证和缓存用户凭证的虚假macOS密码提示。在某些案例中,攻击者试图将Ledger Live和Trezor Suite等合法加密货币钱包应用替换为托管在恶意基础设施上的木马版本。
该恶意软件针对广泛的环境,包括基于Chromium的浏览器、Firefox变体、Safari数据、苹果备忘录以及通常用于存储敏感财务或身份验证数据的本地文件目录。
分析表明,攻击者依赖间歇性的HTTP轮询而非持久连接,这使得检测更具挑战性。该事件反映出攻击者通过操纵搜索结果针对开发者的趋势日益增长,尤其是在AI工具获得主流采用之际。由于开发者能够访问代码库、基础设施和金融系统,他们仍然是高价值目标。
完整的分析、缓解和检测措施已于发现当日完成。此次公开披露旨在加强行业整体的防御能力。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注